ОБЗОР ШПИОНСКОГО ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ И СРЕДСТВ
ЗАЩИТЫ ОТ НЕГО
Романов А.Н.


Донецкий национальный технический университет
Секция информационной безопасности и информационных технологий

 

В этом докладе проводится обзор шпионского программного обеспечения и методов его обнаружения. Наибольшее внимание уделяется классификации шпионских программ и обзору существующих методов обнаружения.

Успешно защититься от хакера сможет лишь тот, кто знает не меньше хакера. Быстрый рост киберпреступности в мировой Сети остро ставит вопрос об эффективности анти-шпионских и антивирусных программных продуктов.

В связи с угрозой утечки конфиденциальной информации пользователей,  исследователи указывают на ощутимое снижение доверия к Сети.

В последнее время появилось множество программ, которые нельзя считать вирусами, так как они не обладают способностью к размножению, но и нельзя отнести к категории полезных программ. Такие программы называются шпионскими.

К вредоносным программам можно отнести следующие:

1.      Adware – приложения, предназначенные для загрузки на персональный компьютер пользователя информации рекламного характера для последующей демонстрации этой информации пользователю [2];

2.      Dialer – программы широко распространены и предназначены для решения ряда задач, связаных с установлением модемной связи с удаленным сервером (при этом связь будет стоить больших затрат);

3.      Hijacker – программы, задачей которой является перенастройка параметров браузера, электронной почты и других приложений без ведома пользователя;

4.      Spyware - программы, занимающиеся сбором персональной информации о компьютере и пользователе: IP-адрес компьютера, версия установленной операционной системы и браузера, список наиболее посещаемых сайтов, поисковые запросы и прочие данные, которые возможно использовать для дальнейших рекламных кампаний [2];

5.      Riskware - программное обеспечение, которое при некоторых условиях может стать рискованным для пользователя: файловые сервера, утилиты удаленного администрирования и т.п. [2].

Чтобы защитить информацию на персональном компьютере пользователь может противопоставить программам-шпионам следующий комплект:

1.       Программный продукт, использующий эвристический механизм защиты против программ-шпионов (обеспечивает непрерывную защиту и не использует сигнатурные базы);

2.       Антивирусный программный продукт, использующий постоянно обновляемые сигнатурные базы;

3.       Программный продукт – Firewall, контролирующий выход в сеть с персонального компьютера на основании конфигурации.

Антивирусные программы не способны защищать пользователя от новых неизвестных ранее вирусов со встроенными шпионскими модулями, так как новые  вирусы на момент атаки еще не внесены в сигнатурную базу антивирусного продукта, и как следствие этого, сигнатурная база  не успела обновиться на компьютере пользователя. В результате конфиденциальная информация пользователя оказывается похищенной. Персональный Firewall задает много вопросов, на которые даже очень хорошо подготовленный пользователь может ответить некорректно, тем самым неправильно его сконфигурировав и в последствии это может отрицательно повлиять на конфиденциальную информацию.

Несмотря на то, что эвристический анализ – технология, базирующаяся на методах теории искусственного интеллекта, позволяющая с высокой вероятностью находить ранее неизвестные опасные программы, все же она допускает ошибки при анализе самомодифицирующегося кода [1].

Из-за существующих проблем с антивирусным программным обеспечением возникает вопрос: Как же выбрать действительно надежную антишпионскую программу? К сожалению, большинство пользователей ориентируются на программы, занимающие верхние позиции в различных рейтингах. Существующие методики сравнительного тестирования антишпионских продуктов, на основе которых и составляют рейтинги, не учитывают возможность защиты от неизвестных шпионских программ. Наиболее весомым критерием тестирования является количество записей в сигнатурной базе. Пользователь, ознакомившись с таблицей, выбирает один из продуктов, занимающих верхние позиции в результатах тестирования, устанавливает его на свой компьютер и верит, что теперь его персональная информация надежно защищена [3].

Между тем, даже для программиста средней руки не составляет труда модифицировать исходный код шпионской программы, который не попадет ни в одну сигнатурную базу и не будет обнаруживаться. И в итоге опять получится уникальный код, против которого невозможно бороться только с помощью классического сигнатурного анализа [1].

Не редко в интернете можно найти результаты тестирований независимых специалистов. Результаты таких тестирований оказываются неожиданными даже для проводивших тестирование специалистов.

Результаты таких тестирований четко показывают, что самые современные антивирусные и антишпионские продукты не в состоянии противостоять краже конфиденциальной информации с персональных компьютеров через встроенные в вирусы шпионские программы, количество которых постоянно возрастает.

Антивирусные программы, базирующиеся только на сигнатурных базах, не удовлетворяют требованиям информационной безопасности.

В этой связи, целесообразно рассмотреть и использовать другие методы противодействия похищению конфиденциальной информации, например: совершенствование искусственного интеллекта антишпионских программ путем использования теории нейросетевого программирования, которая позволит при помощи комбинации с эвристическими методами достичь более эффективных результатов.


 Литература

[1]       М.Е. Фленов. Программирование на С++ глазами хакера. – СПБ.: БХВ-Петербург, 2005.

[2]       Зайцев О. Spyware – модули //http://z-oleg.com/secur/nets-spy.htm

[3]       Красноступ Н.Д. Исследование эффективности средств защиты от шпионских программ //http://bezpeka.com/ru/lib/sec/gen/art533.html